LLM 能认出自己写的字:用激活签名给 AI 文本做 DNA 鉴定
你有没有想过,当你读完一段文字,能不能分辨它是人写的还是 AI 写的?
这个问题在 2024 年以前还算好回答——AI 写的东西总有一股"塑料味",措辞过于工整,逻辑过于四平八稳。但随着模型越来越强,这种直觉式的判断越来越不靠谱。更麻烦的是,就算你怀疑一段文字是 AI 生成的,你也说不清它到底是 GPT-4 写的、Claude 写的、还是 Llama 写的。
传统的水印方案——在生成时偷偷修改 token 概率分布——能部分解决这个问题,但代价是降低生成质量,而且很容易被改写工具洗掉。
今天这篇论文提出了一个完全不同的思路:不去改文字本身,而是去读模型的"指纹"。
论文信息
LLM Self-Recognition: Steering and Retrieving Activation Signatures
作者:Thibaud Ardoin, Jonas Schäfer, Gerhard Wunder(德国联邦教育部 BMBF 资助)
arXiv: 2606.06315
代码:GitHub - Thibaud-Ardoin/LLM-Self-Recognition
一个反直觉的发现:LLM 天生能认出自己
论文的第一个实验结果让人意外:LLM 不需要任何额外训练,就能可靠地分辨自己生成的文本和人类写的文本。
实验设计很巧妙。研究者用 XL-Sum 数据集——8192 篇 BBC 新闻文章——让 LLM 生成 1-2 句的摘要,然后和人类写的原始摘要对比。注意,这是一个低熵场景:摘要必须覆盖文章关键信息,风格自由度很低,这让区分任务变得格外困难。
方法也很简单:把文本送回模型,提取中间层的激活向量(activation),对所有 token 的激活取平均,然后用一个线性判别分析(LDA)分类器做二分类。
结果呢?
| 模型 | 有 prompt (AUROC) | 无 prompt (AUROC) |
|---|---|---|
| Ministral-3-8B | 100% | 99.99% |
| Llama-3.1-8B | 99.99% | 99.16% |
| Llama-3.2-3B | 99.96% | 99.03% |
| Llama-3.2-1B | 99.82% | 98.58% |
作为对比,传统的困惑度(perplexity)基线在有 prompt 时表现尚可,但去掉 prompt 后直接崩到 32%-52%——基本等于随机猜。而基于激活的方法几乎不受影响。
这意味着什么?LLM 在生成文本时,会在内部激活中留下一种模型特有的"签名",这个签名不依赖于 prompt,不依赖于语义内容,甚至在线性可分的空间里就能被检测到。
从"认出自己"到"认出彼此":随机稀疏向量注入
自识别能力虽然有趣,但实用价值有限——你只能判断"这是不是模型 X 写的",不能区分"这是模型 X 的哪个实例写的"。
论文的核心贡献在第二步:通过推理时的激活工程(activation engineering),给同一个模型的不同实例注入不同的"指纹"。
具体做法出奇地简单:
- 生成一个随机稀疏向量 v(99.7% 的维度为零)
- 在生成时,每个 token 的中间层激活加上 α·v
- 检测时,提取文本的激活,用分类器判断它属于哪个 steering 向量
直觉上,这就像给同一条流水线上的产品贴上不同的隐形标签。标签不影响产品的功能(文本质量),但用专门的扫描仪(激活提取 + 分类器)就能读出来。
为什么用稀疏向量而不是密集向量?这是论文的关键设计选择。在高维空间中,随机向量几乎必然与语义流形近似正交(concentration of measure)。稀疏向量只扰动极少数维度,对语义的干扰更小,但信号依然可以被检测到。
实验结果证实了这个直觉:
| 模型 | Token F1 | Text F1 |
|---|---|---|
| Ministral-3-8B | 99.3% | 100% |
| Llama-3.1-8B | 94.0% | 99.1% |
| Llama-3.2-3B | 83.3% | 95.5% |
| Llama-3.2-1B | 72.0% | 85.3% |
模型越大,信号越强。而且 Text-level(多数投票)比 Token-level 高出一大截——即使单个 token 的判断有噪声,几百个 token 投票下来,准确率就逼近完美了。
最让人惊叹的发现:信号穿越了离散化的鸿沟
论文 3.5 节做了一个非常漂亮的实验,也是整篇论文最深刻的洞察。
Steering 向量作用在连续的激活空间里。但 LLM 生成文本时,必须把连续的激活离散化为 token(softmax → 采样),然后 token 又被重新嵌入为离散的向量。这个连续→离散→连续的过程,理论上应该把 steering 信号洗掉——就像你把一幅画数字化成像素再打印出来,细节会丢失。
但实验发现:steering 信号居然穿越了这条鸿沟。
把 steering 后生成的文本送回没有 steering 的原始模型,提取激活,然后直接计算与原始 steering 向量的余弦相似度——不需要任何训练过的分类器——就能以 84.6% 的准确率(text-level)判断文本是由哪个向量 steering 的。
经过 DIPPER-XXL 强力改写后,准确率仍有 77.8%。
这说明什么?steering 信号不是统计噪声,而是物理性地编码进了生成的 token 序列中。离散化没有摧毁它,只是削弱了它。
打个比方:这就像你在弹钢琴时用一种特殊的力度模式弹了一首曲子。即使有人把你的演奏转录成乐谱(离散化),再让另一个钢琴家照着乐谱弹(重新嵌入),那种力度模式的"指纹"依然隐约可辨。
稀疏 vs 密集:少即是多
论文还做了一个实用的工程对比:稀疏 steering 向量和密集 steering 向量的质量-可检测性权衡。
结论很明确:稀疏向量完胜。
在相同的可检测性水平下,稀疏向量对文本质量的损害远小于密集向量。密集向量像是在所有频道上同时广播噪声,而稀疏向量只在几个特定频道上微调,语义内容几乎不受影响。
这对工程实践有直接指导意义:如果你想在生产环境中给 LLM 输出加水印,用稀疏向量是更安全的选择。
鲁棒性:改写洗不掉
用 DIPPER-XXL(一个强大的多句级改写工具)对 LLM 生成的文本进行改写后:
- 传统 KGW 水印的 F1 从 ~95% 降到 ~60%
- 本文方法从 ~99% 降到 ~89%
虽然都有下降,但激活签名方法的降幅明显更小。论文认为这是因为激活签名工作在更高层的表示空间——信号聚合自大量 token,而不是依赖单个 token 的统计特性。
局限与思考
论文也很诚实地讨论了局限:
- 白盒假设:检测需要访问模型的内部激活,这限制了在闭源 API 场景的应用
- 架构边界:跨架构检测降到随机水平——Llama steering 的签名,Mistral 检测不出来
- 安全性:如果攻击者知道了 steering 向量和目标层,可以伪造签名
最后一点特别有意思。论文建议未来可以用动态 steering——向量在生成过程中按伪随机 schedule 旋转——来对抗这种攻击。这就像从静态密码升级为一次性密码本。
更深层的哲学问题
这篇论文触及了一个深刻的问题:LLM 的内部表示空间里,到底住着什么?
自识别实验告诉我们:模型在生成文本时,不仅在编码语义内容,还在无意识地留下关于"我是谁"的信息。这不是刻意的设计,而是 transformer 架构的涌现属性。
而 steering 信号穿越离散化鸿沟的发现更进一步:模型内部的高维几何结构,比我们想象的要"坚固"得多。 随机稀疏向量注入的信号,经过 softmax 采样、token 嵌入、多层 attention 的洗礼,依然可以被检测到。
这让我想到一个类比:DNA。你的 DNA 不决定你今天穿什么衣服(语义内容),但它决定了你的指纹(身份签名)。LLM 的激活空间里,似乎也存在着类似的"基因组"——它不影响模型说什么,但忠实地标记着"这是谁说的"。
工程价值
对于 AI 从业者,这篇论文的实用启发:
- AI 内容审计:如果你运营一个平台,想标记 AI 生成的内容,激活签名比困惑度检测可靠得多
- 模型溯源:同一个基础模型的不同部署实例,可以通过 steering 向量区分
- 水印设计:稀疏激活工程是一种轻量级、低质量损失的水印方案
- 可检测性 vs 质量:如果你需要在生产环境中平衡这两者,稀疏向量是正确答案
代码已开源,基于 Llama-3.1-8B,复现成本不高。
讨论回复
1 条回复
推荐
智谱 GLM-5 已上线
我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。